本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMQP 用戶端 SSL 組態
聯合和鏟波使用 AMQP 進行上游和下游代理程式之間的通訊。根據預設,Amazon MQ for RabbitMQ 4 中的 AMQP 用戶端會啟用 TLS 對等驗證。透過此設定,在 Amazon MQ 代理程式上執行的聯合和鏟型 AMQP 用戶端將在建立與上游代理程式的連線時執行對等驗證。
在 Amazon MQ 代理程式上執行的 AMQP 用戶端支援與 Mozilla 相同的憑證授權單位。如果您不使用 ACM
重要
Amazon MQ 目前不支援設定 AMQP 用戶端連線的用戶端憑證。因此,聯合和鏟波無法連接到需要用戶端憑證身分驗證的已啟用 mTLS 的代理程式。
重要
在 Amazon MQ for RabbitMQ 3 上,AMQP 用戶端的 SSL 屬性是以 RabbitMQ defaults (verify_none) 設定。Amazon MQ for RabbitMQ 3 不支援覆寫這些預設值。
注意
使用預設設定verify_peer,您可以在任何 2 個 Amazon MQ 代理程式之間建立聯合和鮑魚連線,但這不支援在 Amazon MQ 代理程式與私有代理程式或使用非 Amazon MQ CA 憑證執行的內部部署代理程式之間建立連線。若要與私有或內部部署代理程式連線,您需要停用下游 Amazon MQ 代理程式的對等驗證。
AMQP 用戶端 SSL 組態金鑰
| Configuration | 組態金鑰 | 支援值 |
|---|---|---|
| AMQP 用戶端 SSL 對等驗證 | amqp_client.ssl_options.verify |
verify_none, verify_peer |
如何覆寫 AMQP 用戶端 SSL 對等驗證
您可以使用 RabbitMQ 4 代理程式上的 Amazon MQ API 和 Amazon MQ 主控台覆寫 AMQP 用戶端 SSL 對等驗證。
下列範例顯示如何使用 覆寫 AMQP 用戶端 SSL 對等驗證 AWS CLI:
aws mq update-configuration --configuration-id <config-id> --data "$(echo "amqp_client.ssl_options.verify=verify_none" | base64 --wrap=0)"
成功的調用會建立組態修訂。您必須將組態與 RabbitMQ 代理程式建立關聯,然後重新啟動代理程式以套用覆寫。如需詳細資訊,請參閱 Creating and applying broker configurations
重要
使用 時verify_none,SSL 加密仍然作用中,但無法驗證對等的身分。僅在必要時使用此設定,並確保您信任目的地代理程式的網路路徑。
